Des espions chinois dans nos machines ?

Le contexte

Au-delà de la fiabilité et de la robustesse des composants électroniques, se pose désormais la question de savoir s’ils sont fabriqués et commercialisés pour espionner leurs utilisateurs.

Cela concerne en particulier les fournisseurs chinois de technologies comme Huawei, actif en téléphonie et télécoms, mais aussi toute la chaîne d’approvisionnement des éléments électroniques fabriqués en Chine et qui se retrouvent dans des serveurs et ordinateurs du monde entier. Ce fabricant et d’autres sont suspectés d’avoir introduit des fonctions d’espionnage dans leurs équipements. Les investigations sont encore en cours pour tenter de déterminer la liste complète des victimes, mais dans ce domaine c’est très délicat, tant les impacts que pourraient avoir le fait de rendre public de telles situations, dont certaines durent depuis plusieurs années. Bloomberg Businessweek dans son article « The Big Hack: How China Used a Tiny Chip to Infiltrate U.S. Companies » du 4 octobre 2018 en cite quelques-unes, dont des infrastructures sensibles américaines, ainsi que des fournisseurs de matériels, logiciels et services de l’Internet et du cloud computing.

L’intégration dans des équipements informatiques, lors de leur fabrication ou de leur installation, de facilités d’espionnage et de prise de contrôle à distance, existe depuis longtemps. Cela fut initialement le fait d’entreprises et d’agences de renseignement nord-américaines. Ces dernières les ont largement exploitées, comme en ont témoigné les révélations d’Edward Snowden en 2013.

Depuis nous semblons découvrir que c’est non seulement les américains

mais aussi les chinois qui possèdent ces capacités. Peut-on en être réellement surpris ?

 

Pour des raisons de coûts, la fabrication de composants électroniques est largement externalisée en Chine. Différents sous-traitants peuvent être impliqués et ils ont généralement un lien très étroit avec le gouvernement chinois. Ainsi par exemple, le créateur de Huawei Techologies est un ancien colonel de l’Armée populaire de libération.

Même si les composants électroniques sont assemblés en dehors de Chine, le produit fini commercialisé reste vulnérable à l’espionnage d’origine chinoise. C’est ce que témoigne l’affaire Supermicro (entreprise leader mondial en solutions informatiques, de stockage et de mise en réseau), révélatrice de l’interférence chinoise et de sa capacité d’action en terme d’espionnage, de détournement de données partout dans le monde. Ces mêmes capacités pourraient, dans certaines circonstances, se transformer en capacités de sabotage.

 

Sécurité et souveraineté en danger

Les produits dont l’électronique est maitrisée par ceux qui les fabriquent du fait de l’existence de porte dérobée matérielle (back doors) pourraient aussi intégrer des logiciels conçus avec des portes dérobées logicielle, autorisant diverses possibilités de détournement des données et d’usages abusifs, dont l’origine serait à associer au concepteur et développeur de ces logiciels. Cela peut concerner également les logiciels de chiffrement, utilisés pour en principe, sécuriser les données et les transactions.

L’implantation de portes dérobées à l’insu des clients et des utilisateurs, par des constructeurs ou des fournisseurs, étrangers ou non, généralement à la demande d’un Etat, est souvent justifiée pour les raisons suivantes :

  • Sécurité nationale, sûreté publique, lutte contre le terrorisme et la criminalité ;
  • Avantage économique (avantage compétitif, guerre économique, intelligence économique) ;
  • Logique de domination, de puissance, de pouvoir et de contrôle (avantages politique, diplomatique, militaire et économique, cyberguerre).

 

Recommandations pour la Suisse

A l’échelle des pays qui ne maitrisent ni la fabrication, ni le développement des infrastructures matérielles et logicielles, comme c’est le cas de la Suisse, deux grandes pistes de solutions sont possibles pour gagner en souveraineté et en sécurité.

 

Solution de type « Certification »

Etre en mesure de vérifier, d’auditer, de tester, de certifier les produits afin de pouvoir les utiliser en toute connaissance de causes, ou de renoncer à leur usage. C’est d’ailleurs ce préconisent les Etats Unis : l’interdiction d’utiliser entre autres des équipements Huawei (infrastructure de réseau et téléphones) ou des smartphones chinois de la marque ZTE. Pour des raisons de non-maitrise par les autorités, l’usage des téléphones portables de la marque Blackberry fut interdit notamment aux Emirats arabes unis, en 2010. L’Inde avait recommandé leur non usage et la France, par soucis de sécurité et pour échapper à l’espionnage, l’interdit dans les ministères, les services du Premier Ministre et ceux de la Présidence de la République.

La certification déplace le problème de la confiance sur l’entité qui certifie et labellise, parfois cela ne résout pas le problème car cela nécessite une certaine indépendance et autonomie de l’autorité de certification, … et sa reconnaissance nationale et internationale. La neutralité de la Suisse est dans ce contexte, un atout majeur.

 

Devenir un acteur champion de la certification en développant un écosystème autour

d’un Label de garantie « sans backdoors constructeur» pourrait être une opportunité et un atout stratégique pour la Suisse.

 

Solution de type « Chiffrement »

Une alternative qui tient compte de la vulnérabilité by design des matériels et logiciels est de concevoir, développer et d’utiliser des solutions de chiffrement sans back doors, au-dessus (c’est-à-dire en plus) des éléments matériels et logiciels dans lesquels la confiance n’a pas pu être démontrée. Généralement les forces de police, ou les services de renseignement n’apprécient guère ce genre d’approches car elles les empêchent d’accéder (facilement) aux données, et que les utilisateurs disposent alors de techniques de chiffrement qu’eux-mêmes ne maitrisent pas…. Pour lutter contre ce problème, il faut alors trouver une solution de mise en œuvre de techniques de chiffrement fiables et de confiance qui permettent de déposer les clés de chiffrement auprès d’une certaine autorité de confiance (un coffre-fort électronique au niveau national) laquelle doit pouvoir livrer ces clés à des investigateurs, sur demande justifiée et accréditée, par les forces de justice dans le cas d’une enquête par exemple.

Cela traduit la dualité du compromis à faire entre la confiance, l’assurance de confiance offerte aux utilisateurs versus la facilité à intercepter des données et à contrôler les systèmes et les utilisateurs à des fins de sécurité.

 

Perspectives

Des attaques contre les processeurs continuent de se développer depuis la publication de la découverte des failles de sécurité Spectre et Meltdown concernant les processeurs AMD, ARM et Intel au début de l’année 2018.

Difficile de continuer à ignorer la fragilité du matériel informatique à partir desquels les services du numérique sont développés et desquels nous sommes devenus aussi dépendants que vulnérables.

Le problème de la confiance, de la qualité, de la sureté de fonctionnement et de la sécurité des produits et service du numérique – y compris des intelligences artificielles – est à résoudre pour tirer parti de leurs opportunités technologiques. A défaut, et sans analyse des risques et de leur maitrise à tous les niveaux de la société, y compris pour ce qui concerne les infrastructures vitales du pays, la transition numérique, qui engendre de nouveaux risques et de nouvelles menaces, pourrait marquer la fin d’une époque.

L’adoption des technologies issues de l’informatique et des sciences cognitives nécessite un accompagnement politique, économique et juridique. Les ruptures technologiques sont des ruptures stratégiques auxquelles il faut répondre de manière stratégique c’est-à-dire politique … y compris en matière de cybersécurité. Cela est possible à condition d’être en mesure d’accorder une vraie place à la prospective réalisée de manière holistique, à une époque où la réflexion du top-management a toujours du retard …

 

La fuite en avant technologique ne peut pas être une réponse viable sans la redéfinition de nouvelles priorités dans une politique de sécurité à l’ère numérique digne de ce nom.

 

Solange Ghernaouti

Solange Ghernaouti

Docteur en informatique, la professeure Solange Ghernaouti dirige le Swiss Cybersecurity Advisory & Research Group (UNIL) est pionnière de l’interdisciplinarité de la sécurité numérique, experte internationale en cybersécurité et cyberdéfense. Auteure de nombreux livres et publications, elle est membre de l’Académie suisse des sciences techniques, de la Commission suisse de l’Unesco, Chevalier de la Légion d'honneur.

2 réponses à “Des espions chinois dans nos machines ?

  1. Ce qui est marrant (ou dramatique) pour beaucoup d’européens (et suisses;), c’est que le danger est toujours, de préférence russe, ensuite chinois, mais rarement américain!

    Or l’Amérique monte l’Europe des moutons contre ces pays et leur donne une bonne raison d’essayer de se défendre. Que croit-on, que l’on puisse vendre des cellulaires à 1’000.- alors qu’ils en coûtent 100.-?
    🙂

  2. Bonjour,

    Ce sont des guerres stratégiques et commerciales avant-tout.
    Avant de s’occuper de ce que fait la Chine, ne pourrait-on pas se DÉBARRASSER DÉFINITIVEMENT de tout ce que font de mauvais, voir d’ignoble, les américains ?

    Cet espionnage au niveau matériel et logiciel, ce sont les américains qui l’ont commencé et organisé. Maintenant ils en accusent les autres, tout en ayant pourri le système et en continuant leur sale commerce.
    Il est absolument scandaleux de savoir que quasiment toutes les technologies que l’ont utilise dans le mode occidental, proposées par les GAFAM, nous espionnent, et que personne ne réagit ! Qu’aucun gouvernement européen n’a pris de mesures radicales là-contre comme cela s’impose. Ce n’est pas simplement une question de «respect de notre sphère privée», vue à une échelle individualiste stupide une fois de plus, dans une machine globale qui nous serait imposée, de manière globale et autoritaire par l’autre extrême, mais c’est une question de souveraineté, et la souveraineté, ça ne se discute pas ! De souveraineté sur les données que nous produisons et utilisons. C’est un droit fondamental qu’on nous vole, purement et simplement. Le territoire numérique doit être scrupuleusement respecté, à toutes les échelles, tel qu’il l’est dans le monde physique.

    Comme pour le changement climatique, évidemment en pointant du doigt les chinois, on détourne le regards des gens des vrais responsables historiques et les plus dangereux restés dans la course : les américains (et éventuellement des Européens).
    C’est une guerre idéologique et commerciale, pas simplement une guerre technologique.
    La technologie a bon dos, on la sort à toutes les sauces, mais ce sont des aspects beaucoup plus importants qui sont en jeux derrière : idéologie, politique et économie.
    Les outils ont changé mais les conflits restent toujours les mêmes.

    Pour moi c’est l’idéologie principale qu’on adopte et la politique qui doivent régler tout ça. Tant que le politique menée ne dominera pas réellement l’économique et que les politiciens ne passeront pas de leurs paroles aux actes en se montrant responsables, des problèmes de ce genre se poseront toujours dans toutes les sphères d’activités humaines, pas seulement la technologie.

    Un ensemble de valeurs morales qui sont mises en place au niveau d’un pays et RÉELLEMENT appliquées et défendues sont la solution, simple et pratique. Mais on est loin du compte. On complexifie inutilement les choses car, dans le domaine des technologies comme dans d’autres, les questions sont simples. Il nous faut simplement reconnaître qu’il nous faut trouver suffisamment d’honnêteté parmi nous dirigeants pour exercer courage et honnêteté dans la société pour les faire appliquer. La simplicité et l’honnêteté sont les clés dans tous ces domaines. Ce sont des débats moraux et humains et pas du tout technologiques. On sait très bien qu’avec la technologie on peut faire le meilleur comme le pire.

    Salutations,

    R. Jubin

Répondre à R. Jubin Annuler la réponse

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *